多项成果入围！360集体亮相“霸屏”BlackHat 2021世界黑帽峰会

世界黑帽峰会（Black Hat）至今已有 23 年历史，每年夏季时分，全球来自超过75个国家的17000+专业观众，都会慕名前往美国拉斯维加斯参加这场安全界的盛会，了解全球最新安全研究成果及最新安全威胁。

今年，Blact Hat大会将于7月31日-8月5日以线上线下混合形式举行。作为安全行业的全球顶级峰会，Black Hat年年都收到来自全球各地提交的安全技术议题，但每一年议题的通过率不足20%。在如此苛刻的筛选之下，今年国内最大的互联网安全公司360共有3个研究成果入选，这也是继入选5月份的Black Hat Asia大会之后，再次一次获得Black Hat USA的认可。

目前，Blact Hat大会已蓄势待发，大会官网也已放出演讲Briefings，让我们提前一睹为快：

议题一

Put inOne Bug and Pop Out More: An Effective Way of Bug Hunting in Chrome

举一反三：一种高效的Chrome漏洞挖掘方式

——360 阿尔法实验室（Alpha Lab）负责人龚广，360 阿尔法实验室研究员简容，李超

构建一款功能丰富的应用软件，往往需要庞大的代码量作为支撑。在大型的代码库中，由于代码模块众多且逻辑复杂，一些存在安全隐患的代码模式往往会频繁出现在不同模块中。因此，如何根据漏洞模式，快速高效地发现代码库中同一类安全漏洞，对及时修复软件安全缺陷，保障用户安全有重要意义。

在本次演讲中，360安全团队针对拥有大用户量的谷歌Chrome浏览器代码库，以几种漏洞模式为例，不仅介绍了查找相似漏洞模式的基本流程，还介绍了如何通过进一步完善和改进模式，以发现与原始模式不同的新漏洞的方法，最终通过这些模式在Chrome中发现了24个漏洞，11个CVE漏洞编号，并多次获得谷歌公开致谢。

同时，360安全团队曾利用上述发现的漏洞之一，在2020年度天府杯国际网络安全大赛上，成功攻破Chrome浏览器沙箱，完成远程控制计算机的攻击展示，这也是自2015年以来Chrome沙箱首次在国际比赛中被攻破。

议题二：

TyphoonMangkhut: One-click Remote Universal Root Formed with Two Vulnerabilities

飓风山竹：远程通杀Root利用链

——360 阿尔法实验室研究员韩洪立，简容，王晓东，周鹏

在安卓系统中存在一种超级武器，它就是ROOT，可以提升至系统超级用户权限。将远程攻击入口与ROOT提权漏洞结合起来就像是为“核弹头”装配了发射架，将会使其成为真正的“洲际核导弹”！如果这类利用链被黑产在野利用，其危害将不可估计。360安全团队始终致力于抢先发现这类潜在的威胁，并协助厂商修复，及时为安卓用户排除潜在的风险。

自360安全团队上一次远程ROOT Pixel 3，打破Google VRP Program史上最高奖励，并获中国历史上首个The Pwnie Awards“史诗级成就”之后，360在当时最新版本的旗舰机型Pixel4上再一次朝着这个目标出发。去年7月，360安全团队给谷歌上报了另外一条远程ROOT利用链，并实现了针对当时旗舰机型Pixel 4上的一键远程ROOT，这条利用链被命名为“飓风山竹”。据了解，这应该也是目前已知的首次远程root Pixel 4。

与上一次不同的是，这次的利用链仅用了两个漏洞的组合，一个chrome漏洞CVE-2020-6537，实现render进程中任意代码执行，一个Binder漏洞CVE-2020-0423，由于Binder驱动中漏洞的特点，该漏洞能够在高度沙箱化的render进程中直接提权到root。该利用链影响了近两年几乎所有的安卓设备，影响的安卓版本包括但不限于Android9/10/11(Preview)，具备了远程通杀ROOT的潜力。

Pixel系列的机型有着目前最新的防护和补丁，谷歌也多次提高其漏洞奖励额度，在目前的安卓内核防御水平下，想要成功提权意味着激烈的攻防对抗，这也使得每条被证明的利用链都像一件饱经雕琢的艺术品。在浏览器利用部分，360安全团队将会介绍如何将V8引擎中一个受限类型混淆问题转换成一个具备更强大元语的越界访问问题。

在沙箱逃逸root环节，360安全专家通过深入研究后找到一种内核漏洞利用模型，基于该模型可实现仅触发一次漏洞就能获取稳定的任意地址读写元语，在拥有了强大的读写元语之后，其漏洞利用几乎不需要适配。这条利用链也在谷歌2020年官方漏洞奖励计划年报中得到了公开致谢。

利用和防护本身就像矛和盾，本次议题中360安全团队会详细的将这条利用链所用的利用技巧、防护绕过技术分享给大家，以期能够促进攻防技术的共同进步。

议题三：

MobiusBand: Explore Hyper-V Attack Interface through Vulnerabilities Internals

莫比乌斯环：从漏洞内部探索Hyper-V攻击面

——360主任研究员、终端产品技术平台部总经理廖川剑

近年来，微软将云作为未来发展的主要方向，Hyper-V作为微软云战略的基石，其漏洞受到微软高度重视，同时Hyper-V本身安全性很高、漏洞极难发现。在本次演讲中，通过分享360冰刃实验室发现并修复的3个Hyper-VRCE漏洞的内部细节来介绍和探索Hyper-V攻击面，利用这些漏洞可以实现从虚拟机Guest(客户机)逃逸到Host(宿主机)内核，从而达到执行任意代码，控制整台虚拟化设备的目的。

同时，360冰刃实验室所发现的Hyper-V漏洞是远程代码执行类型(Remote Code Execution，简称RCE)的漏洞，RCE漏洞是诸多漏洞类型中危害最大的一种，因此微软送出了史上最高一笔漏洞挖掘奖励，总额高达20万美元（约合人民币137万）。

Black Hat Aisa 2021

360安全团队携最新成果亮相大会

同样，在刚闭幕不久的BlackHat Aisa 2021（亚洲黑帽大会）上，来自360 Alpha Lab的漏洞挖掘与利用资深工程师赵奇，发表了主题为《Wideshears：研究与攻陷QTEE上的Widevine》的演讲。

本次议题中，360 AlphaLab赵奇分享了针对高通QTEE可信执行环境的相关研究。他通过寻找Widevine代码实现中的一系列漏洞，触发Widevine TA中的代码执行，进而从高通保管密钥、指纹等重要数据的SFS文件系统中泄露出加密信息，目标价值相当之高。